Verschlüsselungskontext verwenden - Amazon Chime SDK
Verwenden Sie den Verschlüsselungskontext, um den Zugriff auf Ihren Schlüssel zu kontrollieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungskontext verwenden

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten. AWS KMS verwendet den Verschlüsselungskontext, um authentifizierte Verschlüsselung zu unterstützen.

Wenn Sie einen Verschlüsselungskontext in eine Verschlüsselungsanforderung aufnehmen, bindet AWS KMS den Verschlüsselungskontext an die verschlüsselten Daten. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Voice Analytics verwendet bei allen kryptografischen Vorgängen von AWS KMS denselben Verschlüsselungskontext, wobei der Schlüssel aws:chime:voice-profile-domain:arn und der Wert die Ressource Amazon Resource Name (ARN) ist.

Das folgende Beispiel zeigt einen typischen Verschlüsselungskontext.

"encryptionContext": {
    "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
}

Sie können den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von CloudTrail oder CloudWatch Logs generiert wurden.

Verwenden Sie den Verschlüsselungskontext, um den Zugriff auf Ihren Schlüssel zu kontrollieren

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, kundenseitig verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

Voice Analytics verwendet eine Einschränkung des Verschlüsselungskontextes bei Zuschüssen, um den Zugriff auf die vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Das folgende Beispiel für wichtige Richtlinienerklärungen gewährt Zugriff auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in der Grundsatzerklärung erfordert, dass die Zuschüsse über eine Einschränkung des Verschlüsselungskontextes verfügen, die den Verschlüsselungskontext spezifiziert.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable CreateGrant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
        }
    }
}